Die russische Regierung hat ihre Haltung gegenüber cyberkriminellen Gruppen geändert und sich von passiver Toleranz zu aktivem Management entwickelt, so ein Bericht report des Cybersicherheitsunternehmens Recorded Future. Früher dafür bekannt, dass sie Cyberkriminellen ungehindert agieren ließen, solange sie nicht auf russische Interessen abzielten, üben die Behörden nun zunehmend Kontrolle über diese Netzwerke aus.
Dem Bericht zufolge begann der Wandel um das Jahr 2023, als der Druck durch internationale Strafverfolgungsmaßnahmen zunahm. Russische Geheimdienste und Strafverfolgungsbehörden rekrutieren oder kooptieren jetzt cyberkriminelle Talente, wenn sie mit staatlichen Interessen übereinstimmen, Aktivitäten tolerieren, die geopolitischen Zielen dienen, und eingreifen, um Gruppen zu stören oder zu unterdrücken, die peinlich oder politisch unbequem werden.
Eines der Kennzeichen dieser Verschiebung sind hochkarätige Verhaftungen und Beschlagnahmungen, die choreografiert zu sein scheinen, um die staatliche Kontrolle zu verstärken. Nach der internationalen Abschaltung von Diensten wie Cryptex und UAPS im Rahmen der Operation Endgame kündigte die russische Regierung beispielsweise Ermittlungen gegen diese Plattformen an, verhaftete fast 100 Personen und beschlagnahmte Vermögenswerte im Wert von rund 16 Millionen US-Dollar.
Analysten sagen, dass es bei diesen Maßnahmen weniger darum geht, schädliche Gruppen zu zerschlagen, als vielmehr darum, das Ökosystem zu verwalten, auf Auszahlungen abzuzielen und die Infrastruktur zu ermöglichen, während gleichzeitig Bedrohungsakteure erhalten bleiben, die Informationen oder Störungsfähigkeiten bereitstellen.
Der Bericht betont, dass das Modell eher selektiv als umfassend ist. Cyberkriminelle Gruppen, deren Operationen mit den Zielen des russischen Staates übereinstimmen, agieren weiterhin relativ ungestraft, während diejenigen, die als Belastung eingestuft werden, ins Visier genommen werden. Durchgesickerte Chats von Gruppen wie Conti und TrickBot bestätigen Berichten zufolge Verbindungen zwischen hochrangigen Operatoren und russischen Geheimdiensten.
In der Zwischenzeit passt sich der cyberkriminelle Untergrund selbst an und bevorzugt zunehmend dezentrale Operationen und geschlossene Rekrutierung, um Störungen zu vermeiden.
Für Organisationen und Regierungen außerhalb Russlands hat diese Verschiebung wichtige Auswirkungen. Die Verwischung der Grenze zwischen staatlich geförderten Aktivitäten und kriminellen Unternehmungen bedeutet, dass Angriffe hartnäckiger, besser ausgestattet und schwieriger zuzuordnen sein können. Der Bericht legt nahe, dass sich viele Organisationen, insbesondere in Europa, auf eine Bedrohungslandschaft vorbereiten sollten, in der kriminelle Gruppen indirekt von staatlichen Akteuren unterstützt oder toleriert werden.
Gleichzeitig warnen Experten, dass das neue Modell nicht gleichbedeutend ist mit einem flächendeckenden Vorgehen Russlands gegen Cyberkriminalität. Vielmehr handelt es sich um ein Governance-Modell, bei dem bestimmte Elemente des cyberkriminellen Ökosystems je nach staatlichem Interesse reguliert oder toleriert werden.
Da sich die Beziehung zwischen Kriminellen und staatlichen Akteuren weiter entwickelt, müssen Cyberverteidiger möglicherweise Annahmen über die Bedrohungszuordnung und Risikomodelle überdenken. Das Verständnis, ob ein Bedrohungsakteur rein gewinnorientiert agiert oder als Instrument der staatlichen Politik gesteuert wird, wird für Verteidigungs- und Geheimdienststrategien immer wichtiger.